DXの進展に伴い効率化と新たなビジネス価値の創出を目指す一方で、DX推進におけるセキュリティリスクが課題として挙げられます。情報漏洩やサイバー攻撃といった課題に直面しており、安全性を高めるためのセキュリティ対策が重要です。
そこで今回はDX時代におけるセキュリティ課題と対策方法について詳しく解説します。また、セキュリティリスクの一種として挙げられるサイバー攻撃による情報漏洩の事例や、対策する際に利用できる補助金についても紹介します。
DXにおけるセキュリティガイドライン
経済産業省が公開している「サイバーセキュリティ経営ガイドライン」(Ver.3.0)[1]では、企業経営におけるリスク管理を強化するための指針を定めています。
企業がリスク管理の一環としてサイバーセキュリティ対策を強化するために経営層が果たすべき役割や、実践すべき行動について以下のように記載されています。
| 経営層の責任 |
経営層はサイバーセキュリティを全社で対応すべき重要な経営課題と位置づけ、取り組む姿勢が求められます。 特に企業の情報資産の価値を理解し、サイバーリスクへの理解を深めることが大切です。 |
|---|---|
| 基本的なサイバーセキュリティ方針の策定 | 企業は自社のサイバーセキュリティ方針を策定し、これを明確な文書として残すことが推奨されます。この方針は全従業員および関係者に対して周知・共有することが重要です。 |
| リスク評価と管理体制の確立 | サイバーリスクに対する評価や管理体制の構築が必要であり、リスクアセスメントを実施してリスク軽減のための計画を立てることが重視されます。 |
| インシデント対応計画の策定 | インシデント発生時にすぐ対応するための計画を、事前に策定することが求められています。特に被害を早期に把握し、拡大を防止するための体制が重要です。 |
| サプライチェーン全体での連携 |
サイバーセキュリティは企業単体だけでなく、取引先を含むサプライチェーン全体で取り組むべき課題です。 取引先と連携を強化し、サイバーセキュリティレベルを互いに確認することが必要です。 |
| 最新の脅威情報の把握と対応策の実行 | 常に最新のサイバー脅威情報や攻撃手法を収集し、それを基にしたセキュリティ対策を講じることが求められます。 |
| 企業規模を問わないサイバーセキュリティ投資の重要性 | このガイドラインでは中小企業・大企業問わず、持続的なビジネスを実現するための投資としてサイバーセキュリティを強化する重要性が強調されています。 |
このガイドラインに従うことで企業はDX推進に伴うサイバーリスクを効果的に管理し、安全かつ持続可能な成長を目指せます。
DX化におけるセキュリティ課題
DX化におけるセキュリティ課題は主に下記の3つです。
- サイバー攻撃とデータ保護の課題
- クラウド環境の導入と管理の課題
- 経営層の理解とセキュリティ体制の強化
各内容について詳しく解説します。
サイバー攻撃とデータ保護の課題
DX化が進むことで業務効率化や生産性向上を目指す企業が増えていますが、同時にサイバー攻撃の標的になるのが懸念点です。標的型攻撃やランサムウェアといったサイバー攻撃の手法が多様化している中、データ保護の徹底は不可欠です。
たとえば企業が保有する顧客データや業務情報が漏洩すると、経営や顧客への信頼が失墜するだけでなく訴訟リスクや多額の損害賠償につながる可能性があります。
そのため企業はインシデント発生前に適切なセキュリティ対策を講じ、データの暗号化や多要素認証の導入などで防御レベルを高める必要があります。
クラウド環境の導入と管理の課題
DX推進に伴ってクラウド環境の導入が拡大し、業務の効率化やスムーズなデータ共有が実現できますが、その一方で管理の課題も発生しています。
クラウドサービスの利用はデータが外部サーバーに保管されるため、社内のみで管理していた従来のシステムと異なりアクセス管理の複雑さが増します。
不正アクセスや内部関係者による情報漏洩のリスクが高まるため、アクセス権限の見直しやネットワーク監視の強化が不可欠です。
また、クラウド環境の利用に際してはデータの取り扱い方針や、セキュリティポリシーの見直しも重要です。
経営層の理解とセキュリティ体制の強化
DX化に伴うセキュリティ課題は技術面だけでなく、経営層の理解とリーダーシップによる体制強化も求められます。経営層が積極的にセキュリティ対策を推進することで、全社的な意識向上と対策の実効性が高まるのです。
経営層がリスク管理に対する意識を持ち、情報セキュリティへの投資を決定することでセキュリティリスクの軽減とビジネスの持続的な成長を両立できます。
DX時代におけるセキュリティリスク
DX時代における具体的なセキュリティリスクの内容は下記の通りです。
- サプライチェーンとサイバーリスクの拡大
- テレワーク普及に伴うセキュリティリスク
- クラウドサービスの利用拡大とデータ保護の課題
各内容について詳しく解説します。
サプライチェーンとサイバーリスクの拡大
サプライチェーン上の一部が標的型攻撃を受けてデータが漏洩することで、取引先や他の業者にもセキュリティリスクが波及する可能性があります。
また、外部のサプライヤーやパートナー企業とデータを共有する機会が増えることで、クラウドを介した情報漏洩や不正アクセスのリスクも伴います。
そのため企業はセキュリティを強化したサプライチェーン管理と、パートナー企業との連携が重要です。
テレワーク普及に伴うセキュリティリスク
テレワークによって社外からのアクセスが増加するとランサムウェアやマルウェア感染のリスクが高まり、業務への深刻な影響が懸念されます。
テレワークの拡大により従業員が社外からネットワークやシステムにアクセスする際、VPNや多要素認証、デバイスのセキュリティ対策などの特別な対応が不可欠です。
また、業務用端末と個人端末を分離することで感染リスクを最小限に抑えるための措置が必要です。
クラウドサービスの利用拡大とデータ保護の課題
クラウドサービスの利用が広がる中、利便性と引き換えにセキュリティ面での課題に対処することが必要です。クラウド上に保存されるデータは外部のサーバーにあるため、アクセス管理が不十分だと漏洩や不正アクセスが発生するリスクが高まります。
対策としては暗号化技術や多要素認証の適用により、クラウド内のデータの安全性を確保する取り組みなどが挙げられます。
また、企業は機密情報や個人情報の保護に対してクラウドサービスの提供元と緊密に連携し、セキュリティポリシーの徹底を図る必要があるでしょう。
DX時代におけるセキュリティ対策
DX化におけるセキュリティ対策は下記の通りです。
- ゼロトラストセキュリティの導入
- ランサムウェア・マルウェア対策の強化
- アクセス権限の適切な管理と認証の強化
各内容について詳しく解説します。
ゼロトラストセキュリティの導入
ゼロトラストセキュリティとは「信頼しない」を前提とするセキュリティモデルです。DX化が進む現代では従来の境界型セキュリティ対策だけでは不十分となり、ゼロトラストセキュリティの導入が不可欠です。
ゼロトラストの考え方では「全てのアクセスを信用しない」を基本とし、ユーザーやデバイスの識別と認証を繰り返して異常な挙動を検知して対処します。
企業内外の境界が曖昧なDX環境では、社内外を問わず全ての通信を厳重に管理し、認証によって適正なアクセスを確保することでリスクを最小限に抑えることが可能です。
ランサムウェア・マルウェア対策の強化
情報通信研究機構NICTが公開した「NICTER観測レポート2023」によると、サイバー攻撃の件数は増加傾向にあるようです。[2]日本企業でも株式会社KADOKAWAがランサムウェアにより情報流出が起きました。
関連記事
これに対して企業は定期的なバックアップやインシデント対応計画の策定、従業員向けのサイバーセキュリティ教育を通じて防御態勢を強化する必要があります。
また、エンドポイントセキュリティの導入やファイアウォールの適切な設定によって攻撃リスクを軽減し、迅速な復旧が可能な体制を整えることが重要です。
アクセス権限の適切な管理と認証の強化
DX推進においてはアクセス権限の適切な設定が重要です。たとえばアクセス権限を職務に応じて限定して不要な権限を排除することで、内部不正やデータの漏洩を防止します。
また、多要素認証の導入によって悪意ある第三者による不正アクセスを抑止することも可能。デジタル技術が急速に進展する環境ではセキュリティポリシーの見直しやアクセスログの監視を定期的に実施し、問題が発生したときにすぐ対応できる環境を作ることが望ましいです。
DX関連のセキュリティ対策には補助金を活用できる
サイバーセキュリティ対策を強化したいものの、費用の問題で実施に踏み切れない企業も少なくありません。特に中小企業では専用システムの導入や、従業員教育にかかる費用が大きな負担となることが多いです。
上記のような企業は「サイバーセキュリティ対策促進助成金」を利用できる可能性があります。
この助成金はセキュリティシステム導入やネットワーク保護、従業員向け教育費用を補助するため、低コストでの対策強化が実現できます。
DX時代に起こった情報漏洩の事例
日本では2018年に経済産業省がDX推進の施策を発表し、これが「DX元年」として広く知られるようになりました。DX元年である2018年以降に起こったサイバー攻撃による情報漏洩の事例を紹介します。
株式会社KADOKAWA
2024年7月3日に株式会社KADOKAWAは、同社グループのシステム障害による情報漏洩について公式に発表。この障害は「ニコニコ」サービスを含む大規模なサイバー攻撃の結果で、ランサムウェアが使用されました。
KADOKAWAへランサムウェア攻撃をしたのは、ロシア系ハッカー集団「Black Suit」だと言われています。
🚨 #CyberAttack 🚨
— HackManac (@H4ckManac) June 27, 2024
🇯🇵 #Japan: KADOKAWA Corporation, a Japanese media conglomerate, has been listed as a victim by the Black Suit ransomware group.
The hackers allegedly exfiltrated 1.5 TB of data, including:
- Contracts;
- DocuSigned papers;
- Various legal papers;
-… pic.twitter.com/7c8O7SGTGy
Black Suitはユーザーデータや従業員データを人質に身代金を要求。KADOKAWAがこれに応じたかどうかは言及されていませんが、これらの情報が漏洩したことが明らかとなっています。
漏洩した可能性が高い情報として、N中等部やN高等学校、S高等学校の一部在校生や卒業生株式会社ドワンゴのクリエイターとの契約書などが含まれています。
KADOKAWAは、外部専門機関の調査結果に基づき、7月中に正確な情報を提供する予定とのことです。
つるぎ町立半田病院
令和3年10月31日の未明につるぎ町立半田病院はランサムウェアに感染し、電子カルテを含む院内システムが使用不能になりました。専門家によるとシステムが外部と接続されており、アップデートが必要だったことが感染原因ではないかと指摘されています。[3]
事件発生後に病院の職員は一丸となって早期復旧を目指し、データ復元や端末を利用できる状況への回復に尽力。その結果、令和4年1月4日に通常診療を再開しました。
つるぎ町立半田病院は、今後ほかの病院や事業所が同様のサイバー攻撃を受けないように有識者会議を設置。原因分析や再発防止策を提言する調査報告書を作成しました。
この報告書には電子カルテシステムの使用状況や、セキュリティ強化の必要性が詳述されています。
References
- ^ 経済産業省. 「サイバーセキュリティガイドライン Ver3.0」. https://www.meti.go.jp/policy/netsecurity/downloadfiles/guide_v3.0.pdf, (参照 2024-10-09).
- ^ 情報通信研究機構. 「NICTER観測レポート2023の公開」. https://www.nict.go.jp/press/2024/02/13-1.html, (参照 2024-10-09).
- ^ 徳島県つるぎ町立半田病院. 「コンピュータウイルス感染事案有識者会議調査報告書について」. https://www.handa-hospital.jp/topics/2022/0616/index.html, (参照 2024-10-09).
